वर्षों की चेतावनियों के बीच कि चीन के कुख्यात वोल्ट टाइफून हैकर्स संयुक्त राज्य अमेरिका के महत्वपूर्ण बुनियादी ढांचे के भीतर पूर्व-स्थिति बना सकते हैं, बीमाकर्ताओं के लिए एक बंद दरवाजे के युद्ध के खेल ने सबसे खराब स्थिति की एक श्रृंखला खेली – एक खतरनाक, विघटनकारी खतरे का खुलासा।
आईसीई के आंतरिक निरीक्षण समूह, व्यावसायिक उत्तरदायित्व कार्यालय ने एजेंसी के ऑनलाइन आलोचकों की जांच शुरू कर दी है, जिसमें 100 से अधिक मामले सामने आए हैं, जिन्हें आईसीई अधिकारी एजेंसी के कर्मचारियों के खिलाफ “डॉक्सिंग और धमकियों की घटनाएं” कहते हैं। और यूरोपीय संघ में, तकनीकी कंपनियां ऑनलाइन बाल दुर्व्यवहार सामग्री पर अंकुश लगाने के उद्देश्य से “चैट कंट्रोल” बिल में नवीनीकृत शक्तियों के कारण नागरिकों के व्यक्तिगत टेक्स्ट, ईमेल और सोशल मीडिया संदेशों को फिर से स्कैन करने में सक्षम होंगी। अधिकांश सांसदों द्वारा प्रस्ताव के खिलाफ मतदान करने के बावजूद यूरोपीय संसद ने कानून का विस्तार करने के लिए मतदान किया।
वायर्ड ने इस सप्ताह मैडिसन स्क्वायर गार्डन निगरानी परिदृश्य के बारे में और अधिक जानकारी दी, जिसमें खुलासा हुआ कि एमएसजी ने सैकड़ों मशहूर हस्तियों, प्रमुख निक्स सुपरफैन और यहां तक कि टेलर स्विफ्ट शादी के कुछ मेहमानों को वर्गीकृत करने वाला एक डेटाबेस रखा था, जिसमें लेबल का उपयोग किया गया था जिसमें “एलजीबीटीक्यूआईए,” “होस्ट न करें,” और निम्न से उच्च “जोखिम” शामिल था।
और इस सप्ताह के नए शोध से पता चलता है कि सरकारी वेबसाइट हाईजैक की एक लहर है जिसमें स्कैमर्स ओनलीफैन्स सामग्री को “लीक” करने का वादा करते हैं, जो वयस्क सामग्री निर्माताओं की हजारों कॉपीराइट शिकायतों के कारण बाधित हो रही है, जिससे दुर्भावनापूर्ण लिंक को हटाकर लोगों को सुरक्षित रखने में मदद मिल रही है।
और भी बहुत कुछ है. प्रत्येक सप्ताह, हम सुरक्षा और गोपनीयता संबंधी उन समाचारों को एकत्रित करते हैं जिन्हें हमने स्वयं गहराई से कवर नहीं किया था। पूरी कहानियाँ पढ़ने के लिए शीर्षकों पर क्लिक करें। और वहां सुरक्षित रहें.
सिक्योरिटी वीक और द हैकर न्यूज के अनुसार, नेबुला सिक्योरिटी ने घोस्टलॉक (सीवीई-2026-43499) के लिए शोषण कोड प्रकाशित किया है, जो एक उपयोग-बाद-मुक्त बग है जो लिनक्स कर्नेल में 15 वर्षों तक बैठा रहा और किसी भी लॉग-इन उपयोगकर्ता को एक अनपैच्ड मशीन पर रूट लेने देता है। यह खामी 2011 के बाद से अनिवार्य रूप से हर मुख्यधारा के वितरण में डिफ़ॉल्ट रूप से भेजी गई है और इसके लिए किसी विशेष अनुमति या नेटवर्क एक्सेस की आवश्यकता नहीं है। नेबुला का शोषण कंटेनरों से बच गया और परीक्षण में 97 प्रतिशत विश्वसनीय था। इसने Google के कर्नेलसीटीएफ कार्यक्रम के माध्यम से $92,337 का भुगतान अर्जित किया। इसे अप्रैल में ठीक कर लिया गया था, लेकिन पैच की उपलब्धता असमान है; जुलाई की शुरुआत में, उबंटू ने अभी भी 24.04, 22.04, और 20.04 एलटीएस को असुरक्षित या प्रगति पर सूचीबद्ध किया है, इसलिए रक्षकों को यह मानने के बजाय कि कोई प्रतीक्षा कर रहा है, निश्चित पैकेज की पुष्टि करनी चाहिए।
विशेष रूप से, नेब्यूला को VEGA के साथ बग मिला, इसका AI-संचालित बग-हंटिंग टूल, 2026 में लिनक्स विशेषाधिकार-वृद्धि की खामियों का हिस्सा था, जो पुराने कर्नेल कोड को खंगालने वाले स्वचालित टूल द्वारा सामने आए थे, जिन्हें कुछ वर्षों में दोबारा पढ़ा गया था।
द ड्राइव में लिखते हुए, रिपोर्टर जोएल फेडर ने जून के अंत में कोहल की पार्किंग में चार प्लायमाउथ, मिनेसोटा, पुलिस कारों द्वारा बॉक्सिंग किए जाने का वर्णन किया है – अधिकारी चिल्ला रहे हैं, अपनी बंदूकों पर हाथ रख रहे हैं – क्योंकि फ्लॉक के लाइसेंस प्लेट कैमरों ने न्यू जर्सी डीलरशिप से उधार ली गई 155,000 डॉलर की रेंज रोवर को चोरी के रूप में चिह्नित किया था, जिसका वह परीक्षण कर रहा था। फेडर लिखते हैं कि पुलिस एक टाइपो त्रुटि के कारण कई दिनों से शहर के चारों ओर एसयूवी पर नज़र रख रही थी।
इसका कारण 2,000 मील दूर एक डेटा-एंट्री त्रुटि से जुड़ा है: 34 03 डीटीएम पढ़ने वाली एक जगुआर लैंड रोवर फ्लीट प्लेट के खो जाने की सूचना लॉस एंजिल्स पुलिस को दी गई थी, लेकिन इसे सिस्टम में केवल “34 डीटीएम” के रूप में दर्ज किया गया था – न्यू जर्सी द्वारा निर्माता प्लेटों पर उपयोग किए जाने वाले छोटे मध्य अंकों को हटा दिया गया था। फ़्लॉक के कैमरों ने बड़े अक्षरों को पढ़ा, गैर-मानक संरचना को नज़रअंदाज़ किया, और किसी भी मेल खाने वाली कार के बारे में पुलिस को सचेत करना शुरू कर दिया। फेडर की रिपोर्ट है कि उसी लाइसेंस प्लेट प्रारूप को साझा करने वाले चार अन्य लैंड रोवर्स को उसी सप्ताह मिनेसोटा के आसपास ट्रैक किया जा रहा था; वह ऐसा करने वाला पहला व्यक्ति था।
जिस प्लेट से इस सारी पुलिस गतिविधि की शुरुआत हुई, वह बिल्कुल भी चोरी नहीं हुई थी, बस एक फोटो शूट के दौरान गुम हो गई थी। विडम्बना यह है कि यह घटना द ड्राइव द्वारा ठीक इसी तरह के फ्लॉक ओवररीच पर एक वायरल रिपोर्ट प्रकाशित करने के बमुश्किल दो सप्ताह बाद हुई।
ब्लीपिंगकंप्यूटर के अनुसार, कंसल्टिंग दिग्गज एक्सेंचर ने सुरक्षा उल्लंघन की पुष्टि की है, जब “888” नाम के एक धमकी देने वाले अभिनेता ने 35 जीबी डेटा-सोर्स कोड, आरएसए और एसएसएच कुंजी, एज़्योर एक्सेस टोकन और कॉन्फ़िगरेशन फ़ाइलों को उठाने और इसे साइबर क्राइम फोरम पर बिक्री के लिए रखने का दावा किया है। एक्सेंचर ने इसे “पृथक मामला” कहा, कहा कि उसने स्रोत को ठीक कर लिया है, और संचालन पर कोई प्रभाव नहीं पड़ने की सूचना दी है, लेकिन उस समय इस पर टिप्पणी करने से इनकार कर दिया कि वास्तव में क्या लिया गया था या हमलावर कैसे अंदर आए। दावे का समर्थन करने के लिए, 888 ने एक स्क्रीनशॉट पोस्ट किया, जिसमें एक संशोधित Accenture.com होस्ट पर एक क्लोन Azure DevOps रिपॉजिटरी दिखाई दे रही थी; ब्लीपिंगकंप्यूटर पूर्ण दायरे को सत्यापित नहीं कर सका। यह कंपनी में अभिनेता का पहला बदलाव नहीं है – 2024 में तीसरे पक्ष के उल्लंघन के बाद 888 ने एक्सेंचर कर्मचारी डेटा को बेचने की कोशिश की, और एक्सेंचर 2021 में लॉकबिट रैंसमवेयर की चपेट में आ गया।
उल्लंघन का समय विशेष रूप से अजीब है: एक्सेंचर की संघीय शाखा ने सितंबर 2021 से ICE के साइबर डिफेंस और इंटेलिजेंस सपोर्ट सर्विसेज अनुबंध – 24/7 खतरे की निगरानी, घुसपैठ का पता लगाना और एजेंसी के नेटवर्क पर घटना की प्रतिक्रिया – को लगभग 56.5 मिलियन डॉलर का कार्य आदेश दिया है, जो अगस्त के अंत में समाप्त हो रहा है और वर्तमान में इसे फिर से शुरू किया जा रहा है।
डिफेंसस्कूप के अनुसार, पेंटागन ने इस सप्ताह साइबर आरएपी के लिए आवेदन खोले हैं, जो एक भुगतान प्रशिक्षुता है जो बिना किसी साइबर डिग्री या अनुभव वाले लोगों को भर्ती करता है – केवल सीखने की योग्यता – विभाग के नेटवर्क की रक्षा करने के लिए 12 महीने के पूर्णकालिक कार्यक्रम में। अमेरिकी सेना के सीआईओ, कर्स्टन डेविस ने इसे “कच्ची योग्यता, देशभक्तिपूर्ण प्रेरणा और व्यावहारिक क्षमता” के लिए “शैक्षणिक द्वारपाल” को त्यागने वाला बताया। लेकिन वेतन बेहद कम $22,584 प्रति वर्ष है, और जो लोग बाहर हो जाएंगे उन्हें प्रशिक्षण के लिए सरकार को वापस देना होगा।
यह घर में प्रतिभा निर्माण का सौदा है। मेज पर दूसरा विकल्प इसे किराये पर देना है। GovInfoSecurity की रिपोर्ट के अनुसार, सीनेट सशस्त्र सेवा समिति के FY2027 रक्षा बिल में एक प्रावधान रक्षा सचिव पीट हेगसेथ को “ठेकेदार-स्वामित्व वाले, ठेकेदार-संचालित साधनों” के माध्यम से साइबर ऑपरेशन चलाने के लिए एक पायलट को तैनात करने की अनुमति देगा – एक सरकार द्वारा समर्थित हैकर-फॉर-हायर क्रू।